Plataforma
wordpress
Componente
getcontentfromurl
Corrigido em
1.0.1
O plugin GetContentFromURL para WordPress apresenta uma vulnerabilidade de Server-Side Request Forgery (SSRF) em todas as versões até, e incluindo, 1.0.0. Essa falha ocorre devido ao uso inadequado da função wpremoteget() em vez de wpsaferemote_get() para buscar conteúdo de URLs fornecidas pelo usuário. Atacantes autenticados com acesso de Contributor ou superior podem explorar essa vulnerabilidade.
A vulnerabilidade SSRF permite que um atacante autenticado, com privilégios de Contributor ou superiores, realize requisições web arbitrárias a partir da aplicação web. Isso significa que o atacante pode enviar requisições para qualquer URL que o servidor WordPress possa acessar, incluindo serviços internos que normalmente não são acessíveis externamente. Um atacante pode usar isso para coletar informações sensíveis de serviços internos, modificar dados ou até mesmo realizar ataques a outros sistemas na rede interna. A exploração bem-sucedida pode levar à divulgação de informações confidenciais, comprometimento de sistemas internos e, potencialmente, acesso não autorizado a dados críticos.
A vulnerabilidade foi divulgada em 2026-01-14. Não há informações disponíveis sobre exploração ativa ou a inclusão em catálogos como o KEV da CISA. A ausência de um Proof of Concept (PoC) público não significa que a vulnerabilidade não possa ser explorada, mas indica um risco menor no momento.
WordPress websites utilizing the GetContentFromURL plugin, particularly those with users having Contributor or higher access levels, are at risk. Shared hosting environments where users have limited control over plugin installations are also particularly vulnerable. Sites with legacy configurations or those lacking robust WAF protection are more susceptible to exploitation.
• wordpress / plugin: Use wp-cli to check plugin versions: wp plugin list --status=active. Look for GetContentFromURL versions prior to the patched version (once released).
• generic web: Monitor access logs for outbound requests to unusual or internal IP addresses originating from the WordPress server.
grep "gcfu shortcode" /var/log/apache2/access.log | grep "internal.domain.com" disclosure
Status do Exploit
EPSS
0.01% (percentil 2%)
CISA SSVC
Vetor CVSS
A mitigação imediata envolve a atualização do plugin GetContentFromURL para uma versão corrigida, assim que disponível. Enquanto a atualização não estiver disponível, considere desativar o plugin ou restringir o acesso ao shortcode [gcfu] apenas a usuários com privilégios administrativos. Implementar um Web Application Firewall (WAF) com regras para bloquear requisições para URLs suspeitas ou internas também pode ajudar a mitigar o risco. Além disso, revise as permissões dos usuários WordPress para garantir que apenas usuários confiáveis tenham acesso ao shortcode.
Nenhum patch conhecido disponível. Por favor, revise os detalhes da vulnerabilidade em profundidade e empregue mitigações com base na tolerância ao risco da sua organização. Pode ser melhor desinstalar o software afetado e encontrar um substituto.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-14613 é uma vulnerabilidade de Server-Side Request Forgery (SSRF) no plugin GetContentFromURL para WordPress, permitindo que atacantes autenticados realizem requisições web arbitrárias.
Se você usa o plugin GetContentFromURL em seu site WordPress e possui usuários com privilégios de Contributor ou superior, você pode estar afetado. Verifique a versão do plugin.
Atualize o plugin GetContentFromURL para a versão mais recente que corrige a vulnerabilidade. Enquanto isso, desative o plugin ou restrinja o acesso ao shortcode.
Não há informações disponíveis sobre exploração ativa no momento, mas a vulnerabilidade permanece um risco.
Consulte o site do WordPress para obter informações oficiais sobre a vulnerabilidade e as atualizações de segurança: [https://wordpress.org/news/](https://wordpress.org/news/)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.